金融消費者信息權保護研究

歐陽文婷

(華中師范大學，湖北 武漢 430079)

一、 金融消費者信息權理論探析

(一)金融消費者的概念界定

1. 金融消費者的內涵

我國分業(yè)經營和分業(yè)管理的體制下，不同行業(yè)的金融消費者往往被冠以不同的稱謂，如銀行業(yè)稱“存款人”，保險業(yè)稱“投保人”“被保險人”，證券業(yè)稱“投資者”，等等。 由于實踐中金融商品往往跨部門混合銷售，金融消費者很可能具備多重身份，此時金融消費者的定義宜表述為:因生活需要而購買金融機構提供的商品或接受金融機構提供的服務的一般自然人。

2. 金融消費者的外延

金融消費者的范圍不應包括所有的自然人，也不應排除所有的法人。 對一般自然人而言，其經濟能力、金融知識、信息掌握等相對處于劣勢地位，有賴立法政策的傾斜保護。 但自然人中“具備雄厚財力或專業(yè)能力”的少數群體，由于其在金融交易中并非處于弱勢，從效率與成本出發(fā)，不應納入金融消費者的范疇。 同理，在法人方面也需秉持實質正義的理念區(qū)別對待，將弱勢地位的中小機構定義為金融消費者予以特別保護。

金融消費者的確定不一定以“生活需要”為條件，且包括潛在的金融交易主體。 投資目的和生活需求難以嚴格區(qū)分。 于家庭而言，傳統(tǒng)的生活消費相對短期，投資可定性為延遲了的、中長期的生活消費，其獲取的收益最終還是用于生產生活。 另外，金融產品投資買賣已經成為現代社會的一部分，金融排斥將會導致社會排斥，有必要約束金融機構的行為，將潛在的金融消費需求者的利益納入保護。

(二)金融消費者信息權解析

金融消費者的信息權，是指信息持有者對其與信用或交易相關的信息所享有的控制支配權。 金融機構應當對其金融商品和服務過程中所獲取的相關個人信息嚴格保密，未經權利人許可或法律另有規(guī)定的情況下，不得為任何人和任何目的進行濫用和泄露。隨著金融消費者信息權理論的不斷完善，金融消費者的信息權具體包括金融信息保密權、金融信息支配利用權和金融信息維護權。 金融信息保密權是指客戶的個人身份信息、資信狀況、證券信托賬戶等具有私密性，任何人不得利用信息實施冒領他人存款、拋售他人股票等侵權行為。 信息支配利用權源于個人信息的財產性質，金融消費者是其信用使用范圍的決定者。 信息維護權即是指當個人金融信息被不當泄露或遭受侵害時，尋求法律救濟的權利。

二、 金融信息權保護面臨的挑戰(zhàn)

(一)法律條款存在交叉

針對金融信息的保護問題，當前立法層次不高，著眼于對金融機構的間接監(jiān)管，保護范圍和效果有限。 由于我國金融傳統(tǒng)上以分業(yè)監(jiān)管為基本模式，《銀行法》《證券法》《保險法》等單行法均側重于本行業(yè)的具體特性，條款較為分散，有關金融消費者信息保護的條款也易出現交叉重疊。 《個人信息保護法》作為我國第一部與數字經濟相適應、專門規(guī)范信息保護的法律，為金融信息處理設定了科學的規(guī)則，對各金融組織的數據信息合規(guī)實踐均產生了直接和深遠的影響。 在此基礎上，需處理好《個人信息保護法》與《民法典》、相關規(guī)范性文件的銜接關系，厘清立法體系，進一步強化對金融信息的保護。

(二)偏重行政處罰，民事責任不足

金融消費者信息權的權能內容不完整，偏重于事后的消極保護。 信息管理者的法律責任重心偏離，輕民事救濟。 近年來，我國高度重視非法利用公民金融信息對財產、征信、名譽的侵害，在刑事立法和行政監(jiān)管方面均較為嚴苛。 在刑法修正案中整合規(guī)定出售、非法提供和非法獲取公民個人信息罪，擴大了規(guī)制范圍。 然而，我國實踐中一般偏重于追究信息管理者，如銀行的民事責任，對受損消費者進行賠償的案例不多，不利于金融消費者的權益保護。

(三)金融信息保護需防范多種風險

第一，金融機構因其數據來源廣，儲備海量，信息數據庫遭受技術攻擊的可能性較高。 龐大而詳細的數據對金融企業(yè)而言是一座金礦，但是對黑客來說同樣意味著巨大的價值。 黑客會長期對金融科技公司進行滲透和數據扒取，DDoS 攻擊已經成為當前金融領域極其常見的安全威脅。 當下數據共享、遷移已成為行業(yè)發(fā)展的必要條件，在金融信息采集的各項節(jié)點可能存在泄露風險。

第二，金融App 存在過度收集和利用金融消費者信息的情況。 有學者已針對100 款銀行App，用不同品牌的手機進行個人信息實證測試，其結果顯示，所有App 均存在越界收集個人信息的情況。具體到信息內容，位置信息、手機存儲信息收集比例最高，聯系人信息等隱私信息緊隨其后，且95%以上金融App 沒有設置隱私權限的特別提示。 目前而言，無論是信息收集還是隱私條款，金融消費者為正常使用App 只能接受信息權的強制轉讓。

(四)金融消費者信息保護權利救濟有完善空間

第一，金融行業(yè)自律組織的作用較為局限。 作為政府與企業(yè)之間的中介和橋梁，互聯網金融行業(yè)自律組織能理解政策意圖和監(jiān)管思路，領會防范系統(tǒng)性風險的底線，更好地參與、配合政府部門開展專項整治工作。 但消協(xié)目前暫未滲透至金融領域，銀行業(yè)協(xié)會的維權體系和技術平臺尚未建立；保險業(yè)協(xié)會主要提供信訪途徑，費時費力；證券業(yè)協(xié)會的調解職能還未充分發(fā)揮。 就目前而言，較為有效的途徑主要有信訪、調解等。

第二，消費者自身保護意識不足。 如金融消費者常用密碼多為生日等重要日期，且一般不會定期更換，部分消費者也有使用公用網絡進行金融操作、對銀行單據隨意丟棄等不良習慣。 此外，金融消費者學歷層次相差較大，對金融信息的敏感程度不同，當金融機構等消費平臺出具信息說明條款、要求提供信息時，大多數公民一般不會細致查看便進行個人信息授權，對此后信息的使用、加工、流轉沒有意識或并不關心。

三、 金融消費者信息權保護的對策建議

(一)《個人信息保護法》與其他法律規(guī)范的銜接

處理好《個人信息保護法》與《民法典》的銜接關系。 單獨適用方面，《民法典》和《個人信息保護法》相互補充。 例如，金融信息不當泄露情況緊急，《個人信息保護法》的事后救濟無法立即提供保護，即可援引《民法典》人格權禁令制度及時制止侵權行為，防止損失擴大。 《個人信息保護法》也有單獨適用空間。 如本次新法的亮點之一在于首次規(guī)定“個人信息可攜帶權”“過錯推定責任”均屬于《民法典》中“依照其他法律特別規(guī)定”的情形。 結合適用主要體現于個人金融信息處理規(guī)則。 《民法典》對金融信息處理采“個人同意＋特定免責”模式，而《個人信息保護法》在此基礎上兼顧金融信息的多元價值，轉向融知情同意在內的“多元合理事由模式”，由此可拓展出適應金融信息保護需要的多種合理使用場景。

提高金融信息權相關規(guī)范的立法層級，輔助《個人信息保護法》發(fā)揮在金融領域的作用。 如考慮將有關金融信息權的規(guī)范性文件進行整合，出臺專門的《網絡金融信息保護法》。 結合當下將大型互聯網平臺的金融業(yè)務全面納入監(jiān)管范圍的需要，可制定《金融控股公司法》，對金融創(chuàng)新抗辯嚴加把關，強化大型金融集團的信息處理者責任。 也可考慮將《中國人民銀行金融消費者權益保護實施辦法》上升為法律，提升其效力，構建起完整協(xié)調的金融信息保護法律體系。

(二)確立信息權的內容和信息處理者的責任

賦予金融消費者完整的信息權是充分保護的前提。 我國《個人信息保護法》遵循一般規(guī)則對消費者金融信息權的內容進行了劃定。 首先，在信息處理活動中，基于金融信息傳統(tǒng)的人格屬性，個人享有查閱權、復制權、更正權、刪除權。 其次，《個人信息保護法》適應了金融信息權商業(yè)化的現實土壤，規(guī)定了自動化信息推送、商業(yè)營銷的知情權、選擇權，當產生重大不利影響時，也享有算法解釋權和拒絕權。 再次，在互聯網應用和服務呈多元化發(fā)展、新老管理系統(tǒng)更替頻繁的需求下，《個人信息保護法》規(guī)定金融消費者享有攜帶權，即信息處理者應當為個人提供轉移金融信息的途徑。 總體而言，《個人信息保護法》有關信息權的架構在確定人格屬性權利要素的同時給予財產屬性更多的關注，并突出了消費者的主動性和救濟性權利。

信息處理者的責任方面，《個人信息保護法》第六十九條很大程度上彌補了當前重行政監(jiān)管和刑事處罰重心偏移，規(guī)定了個人信息處理者未盡義務導致損害的民事責任，在金融領域有重要意義。 于金融消費者而言，多數情況下的信息泄露所造成的損失具有不可逆性，行政責任和刑事責任的罰款罰金均上繳國庫，民事責任因其救濟私權損害的特征，更符合金融消費者的利益訴求。 考慮到信息處理者的強勢地位和金融信息特別保護的客觀需要，第六十九條的歸責原則理應為過錯推定，以減輕金融消費者的舉證責任。

(三)加強對金融機構的管理制度建設，提高技術水平

以技術加持構筑金融機構的安全防護墻，實現安全防控機制的常態(tài)化和規(guī)范化。 金融科技的發(fā)展對“技防”水平提出了更高的要求。 第一，各金融機構應與技術服務提供廠商密切溝通，根據需要開展人員培訓，熟悉安全防護設施的各項功能和使用方法。 第二，探索使用區(qū)塊鏈加密技術、客戶信息留痕查詢、生物識別、智能分析、大數據分析等安防技術，全方位覆蓋瀏覽器、客戶端和業(yè)務終端，為操作查詢和人員問責保留電子數據。 第三，定期針對病毒木馬、黑客惡意攻擊等開展攻防演練，積累防范經驗。

金融App 收集客戶信息應當遵循“最小夠用原則”。 “最小夠用原則”，歐盟《一般數據保護條例》(GDPR)當中也被稱作目的受限(purpose limitation)和數據最小化(data minimization)原則，是指在最小的范圍內進行必要的采集和使用。 金融平臺為消費者“畫像”，追求經濟效益的最大化，一定程度上構成了對消費者信息的“勒索”。 從域外對金融機構數據處理的監(jiān)管看，美國的信息披露制度、英國的“監(jiān)管沙盒”構建起了金融機構的數據獲取與報告義務。 形成共識的是，企業(yè)有必要厘清自身產品與服務的具體業(yè)務功能和對應需求的信息種類和數量，采集時僅向用戶申請業(yè)務必要的授權，使用結束后及時刪除或停止利用，推動數字治理的規(guī)范化和法治化。

(四)探索金融信息權法律救濟手段，構建消費者自我保護機制

毋庸置疑，加強金融信息保護有賴于外部保障和內部保障的共同發(fā)力，且應以內部保障為先，外部保障兜底。

自我保障方面，金融消費者應當對自己的個人信息妥善保管。 主要可以密切關注個人銀行卡、微信賬戶、支付寶賬戶的金融信息，謹慎進行銀行卡綁定、微信賬戶登錄等操作，不定期檢查手機的應用權限，關閉可能竊取個人金融信息的授權，及時對異常情況進行處理。 與此同時，消費者應當配合金融監(jiān)管部門的金融知識普及教育，提高金融知識水平和金融安全意識。

糾紛解決機制可通過以下途徑完善:第一，提高金融機構的服務意識，內設專門機構對金融消費者信息權等權利爭議開展解釋和調解工作，以此作為前置程序。 第二，可借鑒美國《多德－弗蘭克法案》經驗，成立專門的“金融消費者保護局”并開通金融消費者投訴熱線，搭建高效的投訴處理平臺，明晰投訴處理程序和建立信息記錄及反饋機制，以保證消費者的投訴得到及時有效的處理。 第三，在訴訟程序中，對金融消費者應當傾斜保護，如舉證可實行適當的“舉證責任倒置”，允許當事人聘用“專家輔助人”收集電子證據，并在管轄和執(zhí)行方面提供便利。

四、 余論:信息保護和信息利用的平衡仍需探索

《個人信息保護法》第十三條為該法關于消費者金融信息處理的“法眼”，在《網絡安全法》以“個人同意”為唯一標準和《民法典》“個人同意＋特定免責”的基礎上，新增了六種對個人金融信息處理的正當化事由，在保護隱私的同時發(fā)揮信息的多元化價值。 該法頒布后，企業(yè)為擴大經濟效益而常態(tài)化使用的歧視性定價、定向推送等行為很可能涉嫌違法。 但毋庸置疑的是，立法對人格權的保護優(yōu)先和對財產權的增值優(yōu)先體現了不同產權制度下公平優(yōu)位和效率優(yōu)位的社會資源配置。 金融消費者信息資源同樣需要遵守強制法的“紅線”，在意思自治的領域內開展競爭，對任何一方的過度傾斜都會帶來消極的結果。 未來金融機構如何做到信息保護與信息利用的平衡仍需積極探索。